no.phhsnews.com


no.phhsnews.com / Slik sporer du brannmuraktivitet med Windows-brannmurloggen

Slik sporer du brannmuraktivitet med Windows-brannmurloggen


I prosessen med å filtrere Internett-trafikk har alle brannmurer en type loggfunksjon som dokumenterer hvordan brannmuren håndterer ulike typer trafikk. Disse loggene kan gi verdifull informasjon som kilde- og destinasjons-IP-adresser, portnumre og protokoller. Du kan også bruke loggfilen for Windows-brannmuren til å overvåke TCP- og UDP-tilkoblinger og -pakker som er blokkert av brannmuren.

Hvorfor og når brannmurlogging er nyttig

  1. For å bekrefte om nylig lagt til brannmurregler fungerer riktig eller for å feilsøke dem Hvis de ikke virker som forventet.
  2. For å avgjøre om Windows-brannmur er årsaken til programfeil - Ved hjelp av brannmurloggingsfunksjonen kan du sjekke om deaktiverte portåpninger, dynamiske portåpninger, analyserer falt pakker med push og presserende flagg og analyser droppet pakker på sendingsbanen.
  3. For å hjelpe og identifisere skadelig aktivitet - Ved hjelp av funksjonen for brannmurlogging kan du sjekke om skadelig aktivitet forekommer i nettverket ditt eller ikke, selv om du må huske at den ikke gir informasjonen som trengs for å spore ned kilden til aktiviteten.
  4. Hvis du oppdager gjentatte mislykkede forsøk på å få tilgang til brannmuren og / eller andre høyprofilerte systemer fra en IP-adresse (eller en gruppe IP-adresser), vil du kanskje ha det å skrive en regel for å slippe alle tilkoblinger fra det IP-området (sørg for at IP-adressen ikke blir spoofed).
  5. Utgående forbindelser som kommer fra interne servere, for eksempel webservere, kan være en indikasjon på at noen bruker systemet til å Starte angrep mot datamaskiner som ligger på andre nettverk.

Slik genererer du loggfilen

Som standard er loggfilen deaktivert, noe som betyr at ingen informasjon er skrevet til loggfilen. For å opprette en loggfil trykk "Win key + R" for å åpne Run-boksen. Skriv "wf.msc" og trykk Enter. Skjermbildet "Windows Brannmur med avansert sikkerhet" vises. På høyre side av skjermen klikker du på "Egenskaper".

En ny dialogboks vises. Klikk nå på "Privat profil" -fanen og velg "Tilpass" i "Logging Section".

Et nytt vindu åpnes, og fra det aktuelle skjermbildet velger du maksimal loggstørrelse, plassering, og om du bare logger på tapt pakker, vellykket tilkobling eller både. En tapt pakke er en pakke som Windows-brannmur har blokkert. En vellykket forbindelse refererer både til innkommende tilkoblinger og til enhver forbindelse du har gjort over Internett, men det betyr ikke alltid at en inntrenger har koblet seg til datamaskinen din.

Som standard skriver Windows-brannmur oppføringer til% SystemRoot% System32 LogFiles Firewall Pfirewall.logog lagrer bare de siste 4 MB dataene. I de fleste produksjonsmiljøer vil denne loggen kontinuerlig skrive til harddisken din, og hvis du endrer størrelsesgrensen for loggfilen (for å logge aktivitet over en lengre periode), kan det føre til en ytelsespåvirkning. Av denne grunn bør du bare aktivere logging når du aktivt feilsøker et problem, og deretter deaktiverer du umiddelbart loggingen når du er ferdig.

Klikk deretter kategorien "Offentlig profil" og gjenta de samme trinnene du gjorde for "Privat profil" -fanen . Du har nå slått på loggen for både private og offentlige nettverkstilkoblinger. Logfilen vil bli opprettet i et W3C utvidet loggformat (.log) som du kan undersøke med et tekstredigeringsprogram du ønsker, eller importere dem til et regneark. En enkelt loggfil kan inneholde tusenvis av tekstoppføringer, så hvis du leser dem gjennom Notisblokk, må du deaktivere ordpakke for å bevare kolonnformatering. Hvis du ser loggfilen i et regneark, vises alle feltene logisk i kolonner for enklere analyse.

På hovedskjermbildet "Windows Brannmur med avansert sikkerhet", rull ned til du ser koblingen "Overvåking". Klikk på filbanen ved siden av "Filnavn" i ruten Detaljer under Loggingsinnstillinger. Loggen åpnes i Notisblokk.

Tolkning av Windows-brannmurloggen

Windows-brannmurens sikkerhetslogg inneholder to seksjoner. Overskriften gir statisk, beskrivende informasjon om versjonen av loggen og feltene som er tilgjengelige. Kroppen til loggen er de samlede dataene som er skrevet inn som et resultat av trafikk som prøver å krysse brannmuren. Det er en dynamisk liste, og nye oppføringer vises fortsatt nederst i loggen. Feltene er skrevet fra venstre til høyre over siden. (-) brukes når det ikke er noen oppføring tilgjengelig for feltet.

I følge Microsoft Technet-dokumentasjonen inneholder overskriften til loggfilen:

Versjon - Viser hvilken versjon av sikkerhetsloggen som er installert i Windows-brannmuren.
Programvare - Viser navnet på programvaren som lager loggen.
Tid - Indikerer at all tidsstempelinformasjon i loggen er lokal tid.
Felter - Viser en liste over felt som er tilgjengelige for sikkerhetsloggen Oppføringer, hvis data er tilgjengelig.

Mens loggfilen inneholder:

dato - Datafeltet identifiserer datoen i formatet ÅÅÅÅ-MM-DD.
tid - Lokal tid vises i loggfilen ved hjelp av formatet HH: MM: SS. Timene er referert i 24-timers format.
handling - Når brannmuren behandler trafikk, registreres enkelte handlinger. De loggede handlingene er DROP for å slippe en tilkobling, ÅPNE for å åpne en tilkobling, LUKK for å lukke en tilkobling, ÅPEN-INBOUND for en innkommende økt som er åpnet for den lokale datamaskinen, og INFO-EVENTS-LOST for hendelser behandlet av Windows-brannmuren, men ble ikke registrert i sikkerhetsloggen.
protokoll - protokollen som brukes som TCP, UDP eller ICMP.
src-ip - Viser kilde-IP-adressen (IP-adressen til datamaskinen som forsøker å etablere kommunikasjon).
dst-ip - Viser destinasjons-IP-adressen til et tilkoblingsforsøk.
src-port - Portnummeret på sendingsdatamaskinen der forbindelsen ble forsøkt.
dst-port - Porten som
tcpflags - Informasjon om TCP-kontrollflagger i TCP-overskrifter.
tcpsyn - Viser TCP-sekvensnummeret i pakken.
Størrelse - Viser pakkestørrelsen i byte.
tcpack - Viser TCP-bekreftelsesnummeret i pakken.
tcpwin - Viser TCP w
icmptype - Informasjon om ICMP-meldingene.
info - Viser en oppføring som avhenger av hvilken type handling som skjedde.
bane - Viser retningen for kommunikasjonen. Alternativene som er tilgjengelige, er SEND, RECEIVE, FORWARD og UNKNOWN.
Som du merker, er logginngangen virkelig stor og kan ha opptil 17 deler av informasjon knyttet til hver hendelse. Imidlertid er bare de første åtte delene av informasjon viktig for generell analyse. Med detaljene i hånden din kan du nå analysere informasjonen for skadelig aktivitet eller feilsøke programfeil.

Hvis du mistenker noe skadelig aktivitet, åpner du loggfilen i Notisblokk og filtrerer alle loggoppføringene med DROP i handlingsfeltet og Merk om destinasjons-IP-adressen avsluttes med et annet tall enn 255. Hvis du finner mange slike oppføringer, noter du destinasjons-IP-adressene til pakkene. Når du er ferdig med å feilsøke problemet, kan du deaktivere brannmuren.

Feilsøking av nettverksproblemer kan være ganske skremmende til tider og en anbefalt god praksis når feilsøking av Windows-brannmur er å aktivere de innfødte loggene. Selv om loggfilen for Windows-brannmur ikke er nyttig for å analysere den generelle sikkerheten til nettverket, er det fortsatt en god praksis hvis du vil overvåke hva som skjer bak kulissene.


Oppgradere Minecraft for å komme til de nyeste funksjonene er alltid morsomt

Oppgradere Minecraft for å komme til de nyeste funksjonene er alltid morsomt

Det ødelegger de gamle kartene dine og skaper Slik oppgraderer du dine gamle Minecraft-kart til sømløse overganger til nye biomer store og gale gjenstander over dem. Les videre når vi viser deg hvordan du kan ta et gammelt Minecraft-kart og ta det med i en ny versjon av Minecraft uten å risikere virkelig gale glitches i terrenget ditt.

(how-to)

Slik gjenoppretter du ConnectSense Smart Outlet

Slik gjenoppretter du ConnectSense Smart Outlet

ConnectSense er et flott smart uttak, men hvis du vil tilbakestille det for å gi det bort, eller hvis du bare trenger å koble den til til et nytt Wi-Fi-nettverk - her er hvordan du tilbakestiller enheten og starter om fra begynnelsen. RELATED: Slik setter du opp ConnectSense Smart Outlet ConnectSense Smart Outlet tillater ikke brukere enkelt endre Wi-Fi-nettverket som det er koblet til, og krever at enheten tilbakestilles for å få det til å skje.

(how-to)